지난번 포스팅에서 Registry에 유용성을 강조하면서 몇가지 도구를 올렸었다.
그 중 유연하고 공짜이고-_-; 많이 쓰게 되는 도구가 Regripper,
근데 또 많은 분석을 EnCase로 하다보니, 이원화 되서 불편...
그래서 만들게 된 RegRippers_Output_Bookmark.EnScript 쨔잔~-_-;;
나의 첫 Enscript... 코드의 완성도가 떨어져서 공개는 망설여지지만,
그래도 출력 결과는 나름 만족스럽기에-_-;
처음 공부하며 한다고 이것저것 삽질 좀 해서 코드가 아름답지 못한듯;;
그래도 거의 10시간 정도 투자한듯- _-; 머리가 나쁘니 원...
스크립트 주제에 좀 복잡한듯-_-; 느낌은 거의 C++과 비슷한듯
Regripper의 출력 결과를 Encase상에 Bookmark 해서 넣어줍니다.
손으로 해도 되지만 귀찮으니깐; Enscript 연습도 할 겸 만들어 봤습니다.
일단 regripper가 없으면 프로그램을 홈페이지에서 다운 받아 압축을 풀어둔다.
사용법
구동순서
작동 예시 영상
p.s: 이런게 하루종일 걸리다니 더 멍청해진듯...
<RegRippers_Output_Bookmark.EnScript>
그 중 유연하고 공짜이고-_-; 많이 쓰게 되는 도구가 Regripper,
근데 또 많은 분석을 EnCase로 하다보니, 이원화 되서 불편...
그래서 만들게 된 RegRippers_Output_Bookmark.EnScript 쨔잔~-_-;;
나의 첫 Enscript... 코드의 완성도가 떨어져서 공개는 망설여지지만,
그래도 출력 결과는 나름 만족스럽기에-_-;
처음 공부하며 한다고 이것저것 삽질 좀 해서 코드가 아름답지 못한듯;;
그래도 거의 10시간 정도 투자한듯- _-; 머리가 나쁘니 원...
스크립트 주제에 좀 복잡한듯-_-; 느낌은 거의 C++과 비슷한듯
Regripper의 출력 결과를 Encase상에 Bookmark 해서 넣어줍니다.
손으로 해도 되지만 귀찮으니깐; Enscript 연습도 할 겸 만들어 봤습니다.
일단 regripper가 없으면 프로그램을 홈페이지에서 다운 받아 압축을 풀어둔다.
사용법
0. 코드에 하드 코딩된 regripper 경로를 수정하여 준다. (기본값: c:\regripper)
(변수명 :RegripperPath, Ln:30)
1. 레지스트리 파일들을 선택한다.
2. Enscript를 돌린다.
3. 북마크 된 결과를 보고 좋아한다.
구동순서
1. 파일명의 의해 Registry type을 확인해서 실행 모듈을 선택한다.(없으면 all을 선택)
2. 작업 진행은 console view에 보여준다.
3. 작업이 끝나면 북마크에 'RegRipper Output' 폴더 안에 파일이 북마크 되며 들어간다.
※ 스크립트를 재실행하면 기존의 북마크 데이터는 지워진다.
작동 예시 영상
p.s: 이런게 하루종일 걸리다니 더 멍청해진듯...
<RegRippers_Output_Bookmark.EnScript>
덧글
Suban 2009/06/12 10:35 # 삭제 답글
혹시 encase 6.x버젼대 enscript인가요? 전 EntryFileClass가 없다고 뜨네요. 4.x버젼이거든요 ㅎㅎ; enscript관련 자료를 어디선가 다운로드 받을 수 있다고 들었는데 혹시 아시면 알려주세요~^^;
용기백배 2009/06/12 14:16 #
악! 그걸 생각 못했네요. 레퍼런스를 5.0 메뉴얼 보고 만든거니깐 아마...5.0 이후부터 되긴 할꺼 같은대 음; 레퍼런스 자료는 아마 가이던스에서 받은거 같은대... 기초 내용은 Lance 블로그(www.forensickb.com) 보고 대충 감을 잡고 보았습니다. 가이던스에서 받은 레퍼런스 파일은 멜주소 남겨주심 방법이 있지 않을까 싶은대 ㅎㅎ; 비밀글로 주세요~
2009/06/15 08:37 # 삭제 답글 
비공개 덧글입니다.
TJ 2009/07/09 11:20 # 삭제 답글
실행해 봤는데...잘 되네요.~~` 좋은 script 감사해요~~
용기백배 2009/07/11 12:45 #
자꾸 하시다보면 오류가 보이실겁니다 ㅋ,